Idmap config ad
Материал из Русский WINE
Содержание
Вступление
Внутренний интерфейс ad сопоставления идентификаторов реализует API только для чтения, чтобы считывать информацию об учетных записях и группах из Active Directory (AD). Серверная часть основана на RFC 2307.
Преимущества и недостатки бэк-энда ad
Преимущества:
- Центральное администрирование идентификаторов внутри Active Directory (AD).
- Согласованные идентификаторы на всех клиентах и серверах Samba, использующих серверную часть ad.
- Требуемые атрибуты нужно создавать только один раз, это можно сделать при создании пользователя или группы.
- Идентификаторы кэшируются только локально, они хранятся в базе данных AD на контроллерах домена. Это означает, что в случае повреждения локального кэша владение файлами не теряется.
Недостатки:
- Если программа Windows Active Directory Users and Computers(ADUC) не используется, необходимо вручную отслеживать значения идентификаторов, чтобы избежать дублирования.
- Значения атрибутов RFC2307 не создаются автоматически, их необходимо добавлять вручную.
Особенности режима информации Winbind NSS:
- rfc2307: Индивидуальные логины и пути к домашним каталогам для пользователей.
- template: Оболочки входа и базовые пути к домашним каталогам одинаковы для всех пользователей.
Планирование диапазонов идентификаторов
Перед настройкой серверной части AD в файле smb.conf необходимо выбрать уникальные диапазоны идентификаторов для каждого домена. Диапазоны должны быть непрерывными и достаточно большими, чтобы Samba могла назначить идентификатор каждому будущему пользователю и группе, созданным в домене.
Предпосылки
RFC2307 и параметры режима шаблона
До Samba v 4.6.0:
ad бэкэнд поддерживает два режима параметра winbind nss info в разделе [global] файла smb.conf:
- winbind nss info = rfc2307: из Active Directory (AD) считывается вся информация:
- Пользователи: Имя пользователя, UID, login shell, путь домашнего каталога и основная группа.
- Группы: Имя групп и их GID.
- winbind nss info = template: из Active Directory (AD) считываются только следующие значения:
- Пользователи: Имя пользователя, UID и основная группа.
Login shell и домашний каталог автоматически настраиваются из независимых от пользователя настроек из файла smb.conf. - Группы: Имя групп и их GID.
- Пользователи: Имя пользователя, UID и основная группа.
[global] security = ADS workgroup = SAMDOM realm = SAMDOM.EXAMPLE.COM log file = /var/log/samba/%m.log log level = 1 winbind nss info = rfc2307 idmap config * : backend = tdb idmap config * : range = 3000-7999 idmap config SAMDOM:backend = ad idmap config SAMDOM:schema_mode = rfc2307 idmap config SAMDOM:range = 10000-999999 vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes
После Samba v 4.6.0:
Параметры:
- range = low - high
- schema_mode = <rfc2307 | sfu | sfu20> - Определяет доступные совпадающие диапазоны UID и GID, для которых серверная часть является доверенной. Обратите внимание, что диапазон действует как фильтр. Если указан любой UID или GID, хранящийся в AD, который выходит за пределы диапазона, то он игнорируется, а соответствующая карта отбрасывается. Он предназначен для того, чтобы избежать случайных совпадений UID / GID между локальными и удаленно определенными идентификаторами.
- unix_primary_group = yes/no - Определяет, выбирается ли основная группа пользователя из атрибутов SFU или основной группы AD. Если установлено значение yes, членство в основной группе выбирается из атрибутов LDAP (gidNumber). Если установлено значение no, членство в первичной группе рассчитывается с помощью атрибута LDAP «primaryGroupID».
По умолчанию: no
- unix_nss_info = yes/no - Если установлено значение yes, winbind будет извлекать оболочку входа и домашний каталог из атрибутов LDAP. Если задано значение no или в записи AD LDAP отсутствуют атрибуты SFU, используются параметры шаблона оболочки и шаблон homedir.
security = ADS workgroup = SAMDOM realm = SAMDOM.EXAMPLE.COM log file = /var/log/samba/%m.log log level = 1 idmap config * : backend = tdb idmap config * : range = 3000-7999 idmap config SAMDOM:backend = ad idmap config SAMDOM:schema_mode = rfc2307 idmap config SAMDOM:range = 10000-999999 idmap config SAMDOM:unix_nss_info = yes vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes
Сохраните файл и перезагрузите настройки Samba:
# smbcontrol all reload-config
Источники: docs.oracle.com, wiki.samba.org
Samba  | |||
|---|---|---|---|
| Файловое хранилище | Samba как файловый сервер • Подключение общей папки • Samba как файловый сервер в домене | ||
| Служба каталогов | |||
| Сервер | Samba как служба каталогов (AD) • Изменение IP-адреса AD • Репликация сервера AD • Резервное копирование и восстановление • Управление пользователями • Групповые политики • Групповая политика паролей | ||
| Клиент | Подключение клиента AD • Устранение неполадок участников домена Samba | ||
| Бэкэнды идентификаторов winbind | idmap config tdb • idmap config ad • idmap config rid • idmap config autorid | ||
| Прочее | Samba как сервер печати • Проверка конфигурационного файла • Утилиты командной строки • LMHOSTS • Уровень логов • Каталоги Samba • Настройка DNS | ||
| Разное | Настройка Samba для привязки к определенным интерфейсам • Тестирование динамических обновлений DNS • Samba Перенастройка бэкенда BIND9 DLZ • Конфигурация DNS для Linux и Unix | ||
| Информация | SSSD vs Winbind • Установка Samba | ||
